Аудит в кредитных финансовых организациях, некредитных финансовых организациях, а также субъектов национальной платежной системы согласно требованиям ЦБ

Аудит – систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации по обеспечению информационной безопасности, включающих в себя качественные и количественные оценки о текущем состоянии информационной безопасности.

С 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой — согласно вступившим в силу Положениям № 672-П, № 683-П и № 684-П. К этому времени финансовые организации уже должны обеспечить необходимый уровень информационной безопасности.

Основные нормативно-правовые акты, в соответствии
с которыми проводится аудит кредитных финансовых организациях, некредитных финансовых организациях,
а также субъектов национальной платежной системы.

Специалисты «ИЦСБ» помогут минимизировать информационные и правовые риски, связанные с невыполнением требований законодательства РФ по безопасности информации в государственных информационных системах (ГИС).

Аудит в некредитных финансовых организациях проводится в соответствии с:

Аудит для платежных систем проводится в соответствии с:

Согласно ГОСТ Р 57580.1-2017 устанавливаются 3 уровня защиты информации:

уровень 3​

Минимальный (для обеспечения соответствия четвертому уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования, установленные для уровня 3);

уровень 2​

Стандартный (для обеспечения соответствия третьему и второму уровням защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования для уровня 2);

уровень 1​

Усиленный (для обеспечения соответствия первому уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования для уровня 1).

В ГОСТ Р 57580.1-2017 установлены требования к содержанию базового состава мер защиты информации для следующих процессов:

1

Обеспечение защиты информации при управлении доступом:

  • управление учетными записями и правами субъектов логического доступа
  • идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа
  • защита информации при осуществлении физического доступа
  • идентификация, классификация и учет ресурсов и объектов доступа
2

Обеспечение защиты вычислительных сетей:

  • сегментация и межсетевое экранирование вычислительных сетей

  • выявление сетевых вторжений и атак

  • защита информации, передаваемой по вычислительным сетям

  • защита беспроводных сетей
3

Обеспечение защиты информации при управлении доступом:

4

Контроль целостности и защищенности информационной инфраструктуры

5

Предотвращение утечек информации

  • мониторинг и анализ событий защиты информации
  • обнаружение инцидентов защиты информации и реагирование на них
6

Управление инцидентами защиты информации:

7

Защита среды виртуализации

8

Защита информации при осуществлении удаленного логического доступа
с использованием мобильных (переносных) устройств

С 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой — согласно вступившим в силу Положениям № 672-П, № 683-П и № 684-П. К этому времени финансовые организации уже должны обеспечить необходимый уровень информационной безопасности.

Способом проверки соответствия защиты информации является оценка выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1 (далее – оценка соответствия защиты информации) независимой организацией, обладающей необходимым уровнем компетенции и имеющей лицензию на деятельность по технической защите конфиденциальной информации как минимум на один из следующих видов работ и услуг:

Оценку соответствия ЗИ осуществляют по следующим направлениям:

Начнем ваш проект?

Контакты

+7 (347) 246-07-64

mail@ecssec.ru

г. Уфа, ул. Пушкина 114/2, офис 4